He estado digitalizando apuntes y artículos sobre protección de datos que conservaba en papel. Entre éstos, he encontrado documentación de un seminario sobre el régimen jurídico de los datos de tráfico en Internet que se hizo en la Universitat de les Illes Balears en febrero de 2005. Andaba por aquél entonces viviendo en Palma de Mallorca, con la suerte de que existía allí el CEDIB, Centro de Estudios de Derecho e Informática de Baleares. Una de las investigadoras me invitó a asitir como oyente, y lo cierto es que fue de lo más interesante, porque entonces estaba en el candelero el asunto de la conservación de datos en telecomunicaciones.

Invito a navegar por la web, todavía activa, del CEDIB. La última actualización es del 22 de enero del 2008. Puede comprobarse lo numerosas que son los seminarios, cursos, publicaciones… Esto me ha hecho reflexionar sobre el estado no sólo de la investigación en general, sino de la referida a la privacidad. ¿Qué tenemos en España digno de mención?¿existe alguna institución, sea pública o privada, donde se investigue la materia, y lo más importante, que produzca resultados que sean útiles para el sector empresarial, profesional, o la sociedad en general?

Basta con intentar profundizar para encontrarse con que existe un vacío tremendo. Por dar un ejemplo, el reciente asociacionismo no está pasando de un ejercicio endémico de onanismo “eleopediano”. Los mismos asistentes a los mismos foros donde repiten los mismos ponentes hablando de lo mismo. Mucha teoría, muchísima, pero poca práctica y pocos resultados palpables.

Si nos vamos al mundo de la empresa, para qué hablar. España, aunque nos pese, todavía no se ha subido a lo digital nada más que como consumidora, no tiene una masa crítica de empresas cuya materia prima esencial de trabajo sean los datos de las personas. Sí, alguno estará pensando en Tuenti, pero es una rara excepción. Como muchos otros, somos un país receptor y usuario de tecnología extranjera (Facebook, Google, Apple…) que sí que tiene como centro los datos. No producimos tecnología que ponga a prueba la privacidad, y no tenemos más remedio que entretenernos filosofando con los problemas que nos aporta esa otra concepción del derecho a la privacidad. El concepto casi puramente mercantil norteamericano choca con el eterno y fracasado proteccionismo europeo. Y de ahí el único acicate que mueve los artículos, ponencias y demás en los que anda paseándose el sector profesional por aquí. Sin los retos de la tecnología foránea, no habría tertulia.

Y finalmente, ¿asociaciones civiles que defiendan y promuevan los derechos de los ciudadanos? Ni están, ni se les espera.

El panorama es bien diferente al otro lado del Atlántico. Estados Unidos inventa, tiene la iniciativa tecnológica (¿qué fue de Japón…?), y disfruta de una brillante actividad dedicada a la privacidad en todos sus ámbitos. Pueden verse multitud de empresas que han surgido de las necesidades que plantea la gestión de la privacidad (TrusteNymityAbineSafetywebMyIDPersonal…); florecen las asociaciones civiles que defienden al ciudadano (EFFACLUEPIC,CDT…); existen universidades con proyectos de investigación sólidos (el Berkman Center de Harvard, el Berkeley Center for Law & Technology, elCenter for Internet and Society de Stanford, el CUPS de la Carnegie Mellon…).

Y para qué hablar del sector profesional, donde también se han implicado las empresas en bloque. Son ellas mismas las que impulsaron y fomentaron el asociacionismo. La International Association of Privacy Professionals (IAPP)se creó en el año 2000 (¡…!), y cuenta ya con más de 10.000 miembros en 70 países. La actividad que desarrolla es muy enriquecedora: congresos, seminarios, webinars, publicaciones… Desde hace tiempo tiene ya presencia en Europa, y desde el 2011 hasta ofrece certificación profesional sobre legislación europea (CIPP/E). Y este año ha comenzado a preparar su desembarco en la zona Asia/Pacífico.

En el primer Knowledgenet de la IAPP en Madrid tuve ocasión de compartir con otro asistente cómo el “lobby” americano había logrado sus frutos en Bruselas. Basta con leer el proyecto de Reglamento europeo de protección de datos para darse cuenta de cuánta influencia han tenido. Es lo que tiene trabajar en la misma dirección, con un proyecto común y teniendo claros los objetivos.

Pienso que existe una grave falta de iniciativa. ¿Compartís esta visión? ¿Alguna opinión optimista?

DoNotTrackMicrosoft va a incluir la funcionalidad “Do not track” en su Internet Explorer 10, que vendrá con el nuevo sistema operativo Windows 8. Además, el DNT estará activado por defecto. El anuncio lo ha hecho su CPO, Brendon Lynch, en el blog de la empresaMicrosoft on the issues. Así se cumple con el objetivo de la empresa de proteger la privacidad de los usuarios permitiéndoles el absoluto control de esta característica. También remarca que así Microsoft cumple con su compromiso con la privacidad en el diseño.

El usuario, activando el DNT, envía a los anunciantes el mensaje de que no quiere ser rastreado. El navegador no bloquea “cookies”, sino que envía esa información al servidor al que hace la petición de la página web que visita el usuario. No es que el anunciante no pueda mostrar su publicidad, sino que no podría ejecutar lo que se llama la publicidad comportamental o contextual, que por otra parte es la más eficaz. Simplificando, el anunciante pasan de tener una diana en el usuario, del que conoce las preferencias, a tener que poner un anuncio sin utilizar esas preferencias. Poco menos que es una vuelta a un cartel pegado en un muro de cualquier calle.

Los anunciantes esperaban que Microsoft dejara al usuario la elección de activar el DNT, permitiendo la instalación del navegador con él desactivado. Pocos usuarios se molestarían en activarlo, sólo los más concienciados con su privacidad.

Aunque nos parezca que esta decisión de Microsoft les deja con unas perspectivas bastante preocupantes para su negocio, los anunciantes discuten que, al estar activado por defecto, el usuario no ha mostrado su preferencia real, por lo que pueden no tomarlo en cuenta. Basan esta decisión en que no hay un consentimiento explícito del usuario, ya sea para ser rastreado, o para no serlo. Y en esa discusión se encuentran.

No tenemos que olvidar que este debate queda enmarcado en la autorregulación que fabricantes de software y redes de anunciantes están intentando llevar a cabo. La FTC ya advirtió que, en este caso, no está funcionando bien, y se oyen cada vez más voces a favor de una regulación federal.

Imaginemos por un momento el mismo caso en España… ¿qué ocurriría?… ¿qué validez puede tener la opción DNT?… Interesante.